Serangan Phishing WhatsApp Manfaatkan Dokumen Bisnis Palsu untuk Retas PC

Sebuah kampanye malware berskala global saat ini tengah menargetkan para pengguna WhatsApp di berbagai negara. Serangan ini memanfaatkan pesan tipuan berisi file VBScript berbahaya yang disamarkan sebagai dokumen bisnis penting, yang pada akhirnya dapat memberikan akses kendali jarak jauh atas sistem komputer korban kepada peretas.

Aktor ancaman menggunakan penamaan file yang mengindikasikan dokumen bisnis dan finansial resmi. Menariknya, pesan-pesan berbahaya ini dikirimkan melalui akun-akun kontak milik korban yang sebelumnya telah berhasil dikuasai oleh peretas, sehingga memicu rasa percaya dari pihak penerima.

Rantai Infeksi dan Penyalahgunaan Perangkat Manajemen IT

Berdasarkan laporan investigasi dari perusahaan keamanan siber Kaspersky, rangkaian serangan dimulai ketika korban menerima pesan dari kontak yang mereka kenal. Pesan tersebut hanya berisi sebuah file VBScript (VBS) yang telah disamarkan secara rumit (heavily obfuscated).

Untuk menarik perhatian dan memicu korban agar segera membuka file tersebut, peretas memberikan nama file lokal yang disesuaikan dengan bahasa di masing-masing negara target. Dokumen palsu tersebut umumnya dinamai seperti laporan keuangan, pernyataan tagihan, hingga pemberitahuan mutasi rekening.

Ketika korban mengunduh dan mengeksekusi file tersebut pada sistem operasi Windows, berikut adalah tahapan infeksi yang terjadi:

• Eksekusi Script Awal: File VBScript akan berjalan dan otomatis mengunduh dua skrip tambahan dari infrastruktur server milik penyerang.
• Pelumpuhan Sistem Keamanan: Skrip tambahan tersebut bertugas memodifikasi komponen Registry Windows untuk menonaktifkan fitur keamanan User Account Control (UAC).
• Instalasi Diam-diam: Setelah benteng pertahanan lumpuh, sistem akan mengunduh arsip ZIP yang berisi program ManageEngine Endpoint Central.

ManageEngine Endpoint Central sebenarnya merupakan perangkat lunak manajemen legal yang biasa digunakan oleh administrator IT untuk mengelola sistem komputer dari dasbor terpusat. Namun dalam kasus ini, penyerang memasang program tersebut secara diam-diam di latar belakang (silent installation) dan mengonfigurasinya agar terhubung ke server manajemen yang dikuasai peretas. Alhasil, peretas mendapatkan hak akses administrasi penuh untuk mengendalikan PC korban dari jarak jauh.

Target Operasi Global dan Metode Eksekusi

Data telemetri menunjukkan bahwa kampanye phishing ini memiliki cakupan geografis yang sangat luas. Beberapa negara yang terdeteksi menjadi target sebaran malware ini meliputi Brasil, India, Meksiko, Singapura, Inggris, Spanyol, Taiwan, Australia, Rusia, Vietnam, termasuk Malaysia.

Metode eksekusi file ini juga bervariasi tergantung pada cara korban mengakses aplikasi pesan tersebut. Jika file VBScript diterima melalui WhatsApp Web, korban harus mengunduhnya terlebih dahulu ke penyimpanan lokal. Namun, jika korban membuka pesan melalui aplikasi WhatsApp Desktop, file berbahaya tersebut dapat langsung dieksekusi secara instan melalui utilitas bawaan Windows Script Host (wscript.exe).

Meskipun belum ada atribusi tingkat tinggi mengenai aktor intelektual di balik serangan ini, para periset menemukan indikasi penggunaan bahasa Mandarin pada kode skrip. Selain itu, ditemukan pula tumpang tindih infrastruktur pada alamat IP yang sebelumnya pernah dikaitkan dengan aktivitas malware ValleyRAT dan Gh0st RAT.

Guna menghindari risiko infeksi ini, para pengguna WhatsApp diimbau untuk selalu waspada terhadap file kiriman yang mencurigakan, meskipun file tersebut dikirim oleh kontak tepercaya atau rekan kerja sendiri. Disarankan untuk selalu melakukan konfirmasi ulang melalui saluran komunikasi lain dan memindai setiap file yang diunduh menggunakan antivirus mutakhir sebelum dibuka.

Sumber: Kaspersky